工业互联网作为新一代网络信息技术与制造业深度融合的产物,是实现产业数字化、网络化、智能化发展的重要基础设施和关键技术支撑。2021年2月,工信部印发《工业互联网创新发展行动计划(2021—2023年)》,对今后3年工业互联网的重点工作内容做出部署,特别强调安全的重要性。
《行动计划》提到,工业互联网企业网络安全分类分级管理有效实施,聚焦重点工业领域打造200家贯标示范企业和100个优秀解决方案。培育一批综合实力强的安全服务龙头企业,打造一批工业互联网安全创新示范园区。基本建成覆盖全网、多方联动、运行高效的工业互联网安全技术监测服务体系。同时要求强化企业自身防护,鼓励支持重点企业建设集中化安全态势感知和综合防护系统,提升网络和数据安全技术能力。
工控系统是工业互联网的核心
工控系统是工业互联网重要的关键环节,工控系统的安全对整个工业互联网的健康发展有着重大影响。
工控系统主要有IT层和OT层两个体系。其中,IT是信息技术,用于检索、传输信息的硬件和软件。而OT(Operational Technology)是运营技术或操作技术,用于监视、触发物理设备变化的硬件和软件。
OT体系是工控系统架构中的重要数据来源,通过工业控制系统(ICS),以及监控和数据采集(SCADA)、分布式控制系统(DCS)、工业自动化和控制系统(IACS)、可编程逻辑控制器(PLC)、可编程自动化控制器(PAC)、远程终端单元(RTU)、控制服务器、智能电子设备(IED)和传感器等各子系统,实现对数据实时采集、存储、运算、实时控制输出,从而使生产制造更加自动化、效率化、精确化、可视化、可控化。
这其中,特别关注可编程逻辑控制器(PLC)、数据采集和监控系统(SCADA)和分布式控制系统(DCS)等三个子系统。
可编程逻辑控制器(PLC)是自动化机械控制的关键,专门为工业生产而设计的数字运算操作的一种电子装置,能实现开关量的逻辑控制、模拟量控制、运动控制、过程控制、数据处理、通信及联网等功能。
数据采集和监控系统(SCADA),以计算机技术、通信技术以及自动化技术为基础的生产监控系统,实现对现场的运行设备进行监视和控制,实现数据采集、设备控制、测量、参数调节以及各类信号报警等各项功能。
分布式控制系统(DCS)是流程工业的大脑,一个由过程控制级和过程监控级组成的以通信网络为纽带的多级计算机系统,综合了计算机、通讯、显示和控制等技术,能够实现分散控制、集中操作、帮助生产线自动化,对控制精度要求较高。
工控系统风险面临的风险挑战
随着“两化融合”带来工业控制系统外连,以及生产网络内底层计算技术、网络技术的更新,使得内网单机开始联网,这就对当前防护技术的功能、性能提出了不同于传统技术的安全要求。这种工业网络规模、工业数据量的变化,对传统的隔离、检测、统一管理的防护逻辑带来挑战。
第一,安全漏洞的挑战。工控系统存在大量老旧且利用门槛低的漏洞,不仅长期未被发现和修复,并且有大量全新的0DAY漏洞。漏洞是风险的爆发源头,无论是病毒攻击还是网络攻击大多是基于漏洞。这些“带病运行”的软件和设备带来巨大安全隐患,面临攻击的风险逐步加大。
第二,运营中断的挑战。工业设备资产分布广、设备类型繁多。很多企业是几十年前的遗留系统,且长期未做更新。不仅面临生产故障、设备老化等风险,设备上的风险隐患在不能有效安全配置下,更加剧了各类设备、软件的脆弱程度,进而导致持续运营中断。
第三,生产效率降低的挑战。OT 团队不了解系统风险趋势与安全重要性,IT 团队不知道业务运营流程。这一关键的技能差距会带来认知偏差,产生壁垒和数据“孤岛”,不仅导致投入的设备与系统效力大打折扣,更会影响业务生产与安全。
“工控系统安全标准”为企业工控建设护航
工业系统是工业互联网的关键基础,为保障工控系统安全,多部门陆续发布了一系列政策文件,为建立工控安全防护体系指明方向。
2011 年,工信部印发《关于加强工业控制系统信息安全管理的通知》,提出加强工业控制系统信息安全管理的重要性和紧迫性。2016年10月,工信部发布《工业控制系统信息安全防护指南》。2017年7月,工信部发布《工业控制系统信息安全防护能力评估工作管理办法》,规范工控安全评估工作。2020年2月,工信部印发《工业数据分类分级指南(试行)》,指导企业提升工业数据管理能力。2021年,全国信息安全标准化技术委员会发布《信息安全技术工业控制系统信息安全防护能力成熟度模型》,这是对工控系统设计、建设、运维等相关方的一套安全标准。
《信息安全技术工业控制系统信息安全防护能力成熟度模型》将工控安全防护能力成熟度等级划分为五级:1级是基础建设级,包括45项安全要求;2级是规范防护级,包括167项安全要求;3级是集成管控级,包括259项安全要求;4级是综合协同级,包括320项安全要求;5级是智能优化级,包括365项安全要求:
级别1,基础建设级
组织能够依据工业控制系统信息安全防护的技术基础和条件开展基本保护工作,安全防护能力建设主要基于特定业务场景,尚未形成规范化、流程化的工作方式,相关工作多依赖信息安全人员主观经验,建设过程未要求以文档形式记录,无法形成可复制。
例如,工业控制系统信息安全防护PA可被标识,初步建立工业控制系统信息安全管理制度,但主要基于组织的特定业务场景和知识经验水平,未形成规范化、流程化的工作方式。
级别2,规范保护级
组织建立并记录工业控制系统信息安全防护能力建设工作,能够针对工业控制设备、工业主机、工业网络、工业数据等方面,制定规范化安全防护制度、规章,使得组织能够以重复的方式执行,采用数字化装备、信息技术手段等,有针对性的开展安全防护,面向各方面形成独立、可复制的安全防护能力。
例如,工业控制系统信息安全防护PA(过程域,就是实现同一安全目标的相关工业控制系统信息安全防护基础实践的集合)管理符合标准的规定,相关BP(基本实现,就是实现某一安全目标的工业控制系统信息安 全防护相关活动)的执行是规范化的,并可对实践情况进行过程验证,与等级1“基础建设”主要区别是BP执行过程被规范地计划和管理。
级别3,集成管控级
组织能够对工业控制系统设备、主机、系统、网络、数据等方面,在规范防护已有工作基础上,通过集成化工具、系统等,对相对独立的单点防护设备进行集中统一管控,同时整合相关防护规章制度文件,形成体系化制度,实现组织内部工业控制 系统信息安全的集中管理、统一控制的安全防护能力。
例如,对工业控制系统设备、主机、系统、网络、数据等方面进行集中统一管控,并形成体系化制度。与等级2“规范防护”的主要区别在于,使用集成化工具来策划和管理工业控制系统信息安全。
级别4,综合协同级
组织能够面向不同产线、厂区、工厂及产业链上下游相关单位,统筹考虑信息安全风险需求,开展安全防护建设,建立多级协 同的安全管理体系,并通过态势感知、统一管控等技术手段实现综合决策、协调防护的安全能力。
例如,统筹考虑不同产线、厂区、工厂及产业链上下游相关单位的信息安全风险需求,建立多级协同的安全防护体系。与等级3“集成管控”的主要区别在于执行过程的综合决策和协调防护。
级别5,智能优化级
组织能够采用人工智能、主动防御、内生安全等先进技术,与已有安全防护设备、系统、制度体系深度融合,使得可通过知识学习、 智能建模分析等技术,构建可智能化演进的安全防护系统,形成具有自决策、自进化能力的安全防护体系。
例如,将已有安全防护设备、系统、制度体系进行深度融合,形成具有自决策、自进化能力的安全防 护体系。与等级4“综合协同”的主要区别在于执行过程的智能优化和演进。
顶象助企业构建立体工控安全体系
《信息安全技术工业控制系统信息安全防护能力成熟度模型》对企业工控系统安全能力的系统检验和评估,主要是基于“安全能力要素”、“能力成熟度等级”和“能力建设过程”等三个维度。
其中,“能力建设过程维度”包含核心保护对象安全和通用安全两个方面:核心保护对象安全主要包含工业设备安全、工业主机安全、工业网络边界安全、工业控制软件安全和工业数据安全等5个过程类,共计20个过程域,188个 基本实践;而通用安全主要包含安全规划与机构、人员管理与培训、物理与环境安全、监测预警与应急响应、供应链安全保障等5个过程类,共计20个过程域, 177个基本实践。
2021年7月,顶象成为工业控制系统信息安全防护能力推进分会会员单位,助力《信息安全技术工业控制系统信息安全防护能力成熟度模型》试点示范,帮助工业企业开展工控安全防护工作。
让企业全面掌握工控系统安全现状
通过安全检测和风险评估,能够对企业的工控系统进行全面的“体检”,发现各类潜在攻击和未知威胁,将威胁扼杀在早期或萌芽状态,将风险防范的关口前移,从而提升企业整体的安全性。
顶象洞见实验室主要面向底层工控设备和装置( PLC、DCS、SCADA等)以及各类组态软件的漏洞挖掘和安全研究,基于领先的工业系统漏洞挖掘与利用、漏洞模糊测试和工业协议分析技术,为国内外数十家知名工业企业提供过安全检测服务。
顶象OT-Argus通过集成自主研发的非入侵式无损智能漏洞扫描系统,结合集成的4000+种工控漏洞,1000+种独家挖掘的0DAY漏洞,50000+种IT漏洞检测扫描插件,全面覆盖IT/OT漏洞检测。对设备进行完整性、脆弱性、安全性进行全面检测与评估,提升设备的安全性、可靠性和稳定性。
防范已知威胁和正在发生的攻击
帮助企业及时修复工控系统存在的各类已知漏洞,有效防范病毒威胁;同时“诱捕”拦截已发生的攻击,良好保障工控系统安全。
顶象OT-Guard独有的“虚拟补丁”技术,能够自动生成基于已知和未知漏洞的针对性防护策略,实时监控各类工控漏洞攻击,阻断各类威胁。石油石化企业不依赖设备厂家升级和修复、无需专业人员手动操作,也可以完成未知缺陷动态修复的解决方案。该方案修复功能完全可逆可追溯,确保生产环境完全可控。
顶象OT-Phantom第三代的欺骗诱捕技术能够自动化高度仿真海量的资产和业务,主动引诱攻击者攻击仿真的“幻影系统”,误导与迷惑攻击者,增加攻击时效,通过使用欺骗防御技术来挫败攻击者的探测过程。可以有效感知攻击者以及蠕虫病毒、木马等通过技术手段对系统进行针对性的攻击行为,详细观察记录攻击手法、入侵行为、访问记录、威胁破坏等,对被防护网络的攻击、异常事件进行实时预警。并通过实时的行为分析,结合关联网络、智能模型建设和风控引擎,对攻击者进行快速溯源和风险特征分析,帮助运营者进行针对性防御。该技术在每年的实战攻防演习得到充分实践证明,目前已在多个企业落地。
预知未知威胁和潜在被攻击风险
帮助企业及时发现并掌握各类异常行为、风险隐患及故障隐患,通过事前应对或消除,保障工控系统的安全,保障业务的连续性。同时,基于业务系统的大数据,构建威胁模型,能够帮助企业预测内外部和主观因素下的偶然与必然结果,为可能发生安全事件提供决策支撑。
顶象通过有监督和无监督的机器学习威胁行为建模,能够对工控系统中的行为进行自动聚类与分类,精准识别网络内的正常和异常行为,发现各类潜在攻击和未知威胁,提升网络和设备的安全检测结果,协助安全运维人员将威胁消灭在萌芽状态,进一步提升整体的安全性。
顶象OT-Eye基于知识图谱技术,打通不同层次的风险数据,实现风险的统一的采集、汇聚、融合与关联。结合内部和外部风险知识,深入挖掘分析,形成独有的风险知识图谱。进而追溯风险原因和传播机制,实现风险的感知和预测,协同网内往外联防联控,帮助安全人员制定更科学有效的防护策略,让企业从被动防御转为主动保障。
作为国内领先的业务安全公司,顶象自主研发了全链路的风控中台产品矩阵体系,包括设备指纹、无感验证、实时决策平台、端加固、数据采集保护、工业硬件保护、模型平台、关联网络平台、知识图谱等风控、安全和人工智能产品,能够有效防范工控系统风险,助力工业互联网健康发展。